JP2009219128A - Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 - Google Patents
Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 Download PDFInfo
- Publication number
- JP2009219128A JP2009219128A JP2009098629A JP2009098629A JP2009219128A JP 2009219128 A JP2009219128 A JP 2009219128A JP 2009098629 A JP2009098629 A JP 2009098629A JP 2009098629 A JP2009098629 A JP 2009098629A JP 2009219128 A JP2009219128 A JP 2009219128A
- Authority
- JP
- Japan
- Prior art keywords
- subscriber line
- dos
- ddos attack
- line terminating
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末に関し、DoS/DDoS攻撃によるパケット廃棄の処理負担の増大によって、CPUの処理機能が麻痺するのをユーザ宅内の装置側で自動的に防護する。
【解決手段】外部ネットワークから大量のパケットが意図的に送出されるDoS/DDoS攻撃を受けると、ユーザ側の加入者線終端装置2でIDS機能等により検出し、加入者線終端装置2のCPUへの負荷が閾値を超えたときに、上位通信装置の加入者線終端集合側装置4に対して、DoS/DDoS攻撃に係るパケットを転送しないよう要求する転送拒否要求を通知する。加入者線終端集合側装置4で、パケットの送信元アドレス、送信元ポート番号又はプロトコルによってフィルタリングを行い、DoS/DDoS攻撃によるパケットを加入者線終端集合側装置4で廃棄する。
【選択図】図1
【解決手段】外部ネットワークから大量のパケットが意図的に送出されるDoS/DDoS攻撃を受けると、ユーザ側の加入者線終端装置2でIDS機能等により検出し、加入者線終端装置2のCPUへの負荷が閾値を超えたときに、上位通信装置の加入者線終端集合側装置4に対して、DoS/DDoS攻撃に係るパケットを転送しないよう要求する転送拒否要求を通知する。加入者線終端集合側装置4で、パケットの送信元アドレス、送信元ポート番号又はプロトコルによってフィルタリングを行い、DoS/DDoS攻撃によるパケットを加入者線終端集合側装置4で廃棄する。
【選択図】図1
Description
本発明は、Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末に関し、特に、イーサネット(登録商標)やIP(Internet Protocol)ネットワーク技術をベースとするルータやホームゲートウェイなど、主に一般の家庭内や事務所内に設置され、Dos(Denial of Services:サービス拒否)攻撃又はDDos(Distributed Dos:分散型サービス拒否)攻撃を防ぐ加入者線終端装置及びユーザ端末に関する。
現在、アクセスライン(加入者線)は、FTTH(Fiber To The Home:光ファイバーによる家庭向けのデータ通信サービス)やADSL(Asymmetric Digital Subscriber Line:非対称型ディジタル加入者線による通信サービス)によって、ブロードバンドネットワークが大幅に普及し、家庭や事務所からインターネットに接続するために、ブロードバンドルータ、ADSLモデム、CATV(Community Antenna TeleVision)モデム等が各ユーザ宅内に設置されている。また、宅内ネットワークに繋がれた情報家電と呼ばれる家庭電気製品を外部から制御するために、宅内LAN(Local Area Network)と外部WAN(Wide Area Network)との境界点に、ホームゲートウェイなどと呼ばれる機器も設置され始めている。
このようなユーザ宅に設置される加入者線を終端する装置は、通信事業者と接続して通信サービスを提供するために、PPP(Point to Point Protocol)やDHCP(Dynamic Host Configuration Protocol)の機能の他に、一般的にNAT/NAPT(Network Address Translation/Network Address Port Translation)機能、フィルタリング機能、QoS(Quality of Service)機能、UPnP(Universal Plug and Play)機能、無線LAN機能、レイヤ2スイッチ機能等を備えている。また、VPN(Virtual Private Network)機能やIPsec(Security Architecture for IP)の機能を備えたものもある。
中でも家庭内や事務所内と外部のWANとの境界点の装置としては、LAN内に対するセキュリティ機能が重要であり、フィルタリングやSPI(Stateful Packet Inspection)、NAT/NAPT機能、IDS(Intrusion Detection System:通信回線を監視し、ネットワークへの侵入を検知して管理者に通報するシステム)の機能により、LAN内部の装置を保護している。
フィルタリングやSPIのファイアウォール機能は、外部との境界を流れるデータを監視し、主に外部WANからの不正なアクセスによるパケットを廃棄し、外部からの不正アクセスを防ぐものである。NAT/NAPT機能は、プライベートアドレスとグローバルアドレスとを変換する機能を有し、これによって、不足しがちなグローバルIPアドレスを節約するとともに、宅内の各装置のIPアドレスをインターネット側から隠蔽することができる。
また、IDS機能は、通過するパケットを分析し、パターン照合によりネットワークへの不正アクセスと判断されるパケットを、管理者に電子メールなどで通報するシステムである。このように、近年の加入者線終端装置は様々なセキュリティ機能を備え、装置配下のLAN内端末への不正アクセスに対する保護対策を講じている。
Dos/DDos攻撃を防ぐ不正アクセス対処システムとして、下記の特許文献1に、複数のISP(Internet Services Provider)が協調して、不正アクセス発信元にできるだけ近い場所で不正アクセス対策を実施することにより、分散型サービス不能化攻撃に対処する不正アクセス着信拒否技術が記載されている。
前述のような加入者線終端装置が、宅内LANと外部WANとの間に置かれているが、もしも、この加入者線終端装置で通過パケットのフィルタリングを行わない状態で、外部ネットワークからLAN内のユーザ端末へDoS/DDoS攻撃が加えられると、ユーザ端末の中央処理ユニット(CPU)に高負荷が掛かり、ユーザ端末がダウンして動作不能な状態に陥る弊害が発生する。
IPv4ネットワーク環境では、非武装地帯と言われるDMZ(DeMilitarized Zone)などに設置した、グローバルIPアドレスを有するサーバ等が、DoS/DDoS攻撃の標的となる。IPv6ネットワーク環境ではNAT機能がないため、グローバルIPアドレスが割り当てられた全てのユーザ端末が標的となり得る。ここでいうユーザ端末とは、パーソナルコンピュータやその周辺機器、AV(Audio Visual)機器、電話機、家電製品など、宅内LANに繋がれた標的対象となり得る端末である。
このため、モデムやブロードハンドルータなどの加入者線終端装置には、WAN側からの不正なパケットをフィルタリングする機能を備え、加入者線終端装置で該パケットを廃棄することにより、ユーザ端末への不正なパケットの転送を防いでいる。しかし、この防護は、加入者線終端装置で廃棄処理を行っているため、大量のDoS/DDoS攻撃が加えられると、加入者線終端装置のCPUに高負荷が掛かり、DoS/DDoS攻撃中はモデム機能の制御が不能となることがある。
これは、加入者線終端装置の中央処理ユニット(CPU)が不正なパケットの廃棄に処理能力を奪われるためで、ウェブからの制御が不能になったり、加入者線終端装置のステータス状態を表示する発光ダイオード(LED)が正常に明滅しなくなったり、最悪の場合はハングアップしたりする恐れもある。
また、IDS機能を用いて不正アクセスを検知しても、該不正アクセスは、電子メールによってユーザに通知され、該電子メールを見たユーザが手動により不正アクセスを防ぐ設定変更を加入者線終端装置などに対して直接行わなければならず、加入者線へのDoS/DDoS攻撃を加入者線終端装置側で検知しても、それを自動的に防ぐことができなかった。
本発明は、ユーザ宅内の加入者線終端装置やユーザ端末などの比較的安価な装置において、DoS/DDoS攻撃による処理負担の増大によって、それらの装置の中央処理ユニット(CPU)の機能が麻痺するのをユーザ宅内の装置側で自動的に防護し、DoS/DDoS攻撃により、加入者線終端装置やユーザ端末が制御不能になったりダウンしたりするのを防ぐことを目的とする。
本発明の加入者線終端装置は、(1)ユーザ宅内側に設置された加入者線終端装置において、通過するパケットを分析し、DoS又はDDoS攻撃によるパケットを検出するDoS/DDoS攻撃検知手段と、前記加入者線終端装置内の中央処理ユニットの処理負荷が、予め定めた閾値を超えたときに、上位通信装置に対して、該DoS又はDDoS攻撃によるパケットを転送しないよう要求する転送拒否要求を通知する転送拒否要求通知手段と、を備えたことを特徴とする。
また、(2)配下のLAN内装置で大量のパケットによるDoS又はDDoS攻撃を検知した旨の通知を受けたときに、上位通信装置に対して、該DoS又はDDoS攻撃によるパケットを、該加入者線終端装置へ転送しないよう要求する転送拒否要求を通知する転送拒否要求通知手段を備えたことを特徴とする。
また、(3)配下のLAN内装置を送信元とするDoS又はDDoS攻撃をIDS機能により検出する手段と、前記加入者線終端装置内の中央処理ユニットの処理負荷が、予め定めた閾値を超えたときに、上位通信装置に対して、該DoS又はDDoS攻撃によるパケットを上位ネットワークに転送しないよう要求する転送拒否要求を通知する転送拒否要求通知手段と、を備えたことを特徴とする。
また、(4)前記転送拒否要求通知手段は、イーサ(登録商標)フレーム、IPパケット若しくはそれ以上の高いレイヤの保守フレーム、又はイーサネット(登録商標)の物理レイヤにおけるパケット間ギャップを用いて、前記転送拒否要求を通知することを特徴とする。
また、(5)ユーザ宅内側に設置された加入者線終端装置において、通過するパケットを分析し、配下のLAN内装置を送信元とするDoS又はDDoS攻撃を検出する手段と、前記加入者線終端装置内の中央処理ユニットの処理負荷が、予め定めた閾値を超えたときに、前記DoS又はDDoS攻撃の送信元のLAN内装置とのリンクを切断するリンク切断手段と、を備えたことを特徴とする。
また、(6)配下のLAN内装置を送信元とするDoS又はDDoS攻撃が検出された旨の通知を上位通信装置から受けたときに、該DoS又はDDoS攻撃の送信元のLAN内装置とのリンクを切断するリンク切断手段を備えたことを特徴とする。
また、(7)ユーザ宅内側に設置された加入者線終端装置において、通過するパケットを分析し、DoS又はDDoS攻撃によるパケットをIDS機能により検出するDoS/DDoS攻撃検知手段と、前記加入者線終端装置内の中央処理ユニットの処理負荷が、予め定めた閾値を超えたときに、上位通信装置に対してIPアドレスの再取得を行う手段と、を備えたことを特徴とする。
また、(8)配下のLAN内装置で大量のパケットによるDoS又はDDoS攻撃を検知した旨の通知を受けたときに、上位通信装置に対して、IPアドレスの再取得を行う手段を備えたことを特徴とする。
また、本発明のユーザ端末は、(9)ユーザ宅内のユーザ端末において、通過するパケットを分析し、DoS又はDDoS攻撃によるパケットをIDS機能により検出するDoS/DDoS攻撃検知手段と、前記ユーザ端末内の中央処理ユニットの処理負荷が、予め定めた閾値を超えたときに、該ユーザ端末自身のIPアドレスを変更する手段と、を備えたことを特徴とする。
上位ネットワーク側でDoS/DDoS攻撃を検知して防御するには、非常に高価な不正アクセス検知サーバを備える必要があるが、本発明では加入者線単位でDoS/DDoS攻撃を検知して防御することによって、安価なブロードハンドルータ等のユーザ宅内の装置でDoS/DDoS攻撃に対する防護が可能になる。
また、上位ネットワークで通過する全てのパケットを、正常なパケットか不正なパケットか洩れなく判断するのは至難であるが、DoS/DDoS攻撃を加入者線単位で個々に中央処理ユニットの処理負荷が閾値を超えたか否かを基に検知して、それを防御することにより、DoS/DDoS攻撃に確実に対処することができる。モデムやブローハンドルータ等の宅内装置は安価でパフォーマンスが低いが、本発明によりそれらの装置の中央処理ユニットの処理機能をDoS/DDoS攻撃から保護することができる。
図1は本発明によるDos/DDos攻撃防護の第1の実施形態を示す。図1では、家庭内や事業所内のユーザ端末1と外部WANとの境界に、ユーザ側の加入者線終端装置2が置かれ、その上位側に加入者線3を介して接続された加入者線終端集合側装置4が設置される実施形態を示している。
ここで、加入者線終端集合側装置4は、DSLAM(Digital Subscriber Line Access Multiplexer)やBAS(Broadband Access Server)など、複数のxDSL回線を束ね、ルータなどの通信機器と接続して高速・大容量の基幹回線(バックボーン)への橋渡しを行なう集線装置である。
外部ネットワークから大量のパケットが意図的に送出されるDoS/DDoS攻撃を受けると、これをユーザ側の加入者線終端装置2でIDS機能等により検出する。ユーザ側の加入者線終端装置2には、該DoS/DDoS攻撃によるCPUへの負荷増大に対して予め一定の閾値を設けておき、CPUの負荷がその閾値を超えたときに、上位通信装置の加入者線終端集合側装置4に対して、DoS/DDoS攻撃に係るパケットを転送しないよう要求する転送拒否要求を通知する(通知#1)。
CPUの負荷の閾値を設けるのは、DoS/DDoS攻撃を受けて加入者線終端装置2がハングアップする前に、転送拒否要求の通知を行うためである。これによって、該転送拒否要求に対応した上位装置の加入者線終端集合側装置4で、該パケットの送信元アドレス、送信元ポート番号又はプロトコルによってフィルタリングを行い、DoS/DDoS攻撃によるパケットを上位装置の加入者線終端集合側装置4で廃棄し、加入者線3へのネットワーク帯域の負荷やユーザ側の加入者線終端装置2や宅内のユーザ端末1のCPUへの負荷の増大から保護することができる。
上述のパケットを転送しないよう要求する加入者線終端装置2から上位通信装置の加入者線終端集合側装置4に対する転送拒否要求の通知#1には、イーサ(登録商標)フレームやIPパケット又はそれより高いレイヤの保守フレームを用いることができる。また、ユーザデータのトラフィックに影響を及ぼすことなく、イーサネット(登録商標)の物理レイヤにおける保守管理機能を実現するパケット間ギャップを、上記転送拒否要求の通知#1に用いる構成とすることもできる。
本発明のDos/DDos攻撃防護の第2の実施形態を図2に示す。この実施形態では、ユーザ側の加入者線終端装置2の配下のLAN内のユーザ端末1で、大量のパケットによるDoS/DDoS攻撃を検知したときに、該ユーザ端末1がユーザ側加入者線終端装置2に不正な攻撃を検知した旨を通知する(通知#2)。加入者線終端装置2は、その通知を受けて、上位通信装置の加入者線終端集合側装置4に対して、パケットを転送しないよう転送拒否要求を、上述の実施形態1で説明した手法で通知する(通知#1)。
この第2の実施形態は、ユーザ側の加入者線終端装置2の配下のLAN内のユーザ端末1と連携して、DoS/DDoS攻撃から加入者線側を保護する形態である。この実施形態における上述の通知#2の手法としては、家庭内のパーソナルコンピュータや周辺機器、AV機器、電話機、家電製品などの機器を、ネットワークを通じて接続し、相互に機能を提供し合うための技術仕様として標準化されているUPnP(Universal Plug and Play)を使用して通知する構成とすることができる。
図3に本発明のDos/DDos攻撃防護の第3の実施形態を示す。この実施形態は、上述のDoS/DDoS攻撃の場合とは逆に、加入者線終端装置2の配下の端末が送信元となっているDoS/DDoS攻撃を、ユーザ側の加入者線終端装置2で防ぐ実施形態である。
ユーザ側の加入者線終端装置2の配下のLAN側に、DoS/DDoS攻撃の送信元と推定される端末1が存在する場合に、これをユーザ側加入者線終端装置2で検知する。ユーザ側加入者線終端装置2には、DoS/DDoS攻撃による負荷増大に対して或る一定の閾値を設けておき、負荷がその閾値を超えたときに、その端末1とユーザ側加入者線終端装置2との間のリンクを切断し、上位ネットワークへのDoS/DDoS攻撃の発生をユーザ側加入者線終端装置2で阻止する。
図4に本発明のDos/DDos攻撃防護の第4の実施形態を示す。この実施形態は、前述の第3の実施形態と同様に、加入者線終端装置2の配下の端末1が送信元となっているDoS/DDoS攻撃を防ぐ実施形態である。ユーザ側の加入者線終端装置2の配下のLAN側に、DoS/DDoS攻撃の送信元と判定される端末1が存在する場合に、前述の実施形態3と同様にこれをユーザ側加入者線終端装置2で検知し、DoS/DDoS攻撃による負荷増大が閾値を超えたときに、上位通信装置の加入者線終端集合側装置4に対して、該攻撃に係るパケットを上位ネットワークへ転送しないという転送拒否要求を、前述の実施形態1等と同様の手法で通知する(通知#1)。
加入者線終端集合側装置4は、上記の通知#1を受けると、該パケットの送信元アドレス、送信元ポート番号又はプロトコルによってフィルタリングを行い、DoS/DDoS攻撃によるパケットを廃棄し、上位ネットワークへ不要なパケットが送出されるのを防ぐ。こうすることにより、加入者線3より上位ネットワークへのDoS/DDoS攻撃による無駄なトラフィック負荷を低減することができる。
図5に本発明のDos/DDos攻撃防護の第5の実施形態を示す。この実施形態の前述の第3及び第4の実施形態と同様に、加入者線終端装置2の配下の端末が送信元となっているDoS/DDoS攻撃を防ぐ形態である。ユーザ側の加入者線終端装置2の配下のLAN側に、DoS/DDoS攻撃の送信元と推定される端末1が存在する場合に、その攻撃を加入者線終端集合側装置4で検知し、加入者線終端集合側装置4からその送信元と判定されるユーザ側の加入者線終端装置2に対して、そのパケットを転送しないことを要求する転送拒否要求を、前述の第1の実施形態と同様の手法で通知し、送信元のユーザ側加入者線終端装置2のフィルタリング機能により、DoS/DDoS攻撃パケットを廃棄する。また、ユーザ側加入者線終端装置2では、前述の実施形態3のように、その送信元と判定される端末1とのリンク自体を切断することによってDoS/DDoS攻撃を防ぐ構成とすることもできる。
図6は本発明のDos/DDos攻撃防護の第6の実施形態を示す。この第6の実施形態は、前述したような上位通信装置の加入者線終端集合側装置4への通知によるDoS/DDoS攻撃の防護とは異なり、ユーザ側加入者線終端装置2に割り当てられているIPアドレスそのものを再取得して変更することによって、DoS/DDoS攻撃を防ぐ実施形態である。
外部ネットワークからDoS/DDoS攻撃を受けると、ユーザ側に設置された加入者線終端装置2においてこれを検知し、前述の実施形態1と同様に、CPUの負荷が或る閾値を超えたときに、上位通信装置の加入者線終端集合側装置4に対してIPアドレスの再取得を行い、自身のIPアドレスを変更する。
IPアドレスの変更により、DoS/DDoS攻撃対象となっているIPアドレスと異なるものとなり、ユーザ側の加入者線終端装置2へ大量のパケットが転送されるのを防ぐことができる。IPアドレスの再取得は、第1の実施形態のように、保守フレームやフレームギャップを使用する構成とは異なり、加入者線終端集合側装置4に特別な機能追加や変更を行わなくても、現状の環境のままでユーザ側の加入者線終端装置2へのDoS/DDoS攻撃を防ぐことができる。
また、ユーザ端末1がDoS/DDoS攻撃を受け、このユーザ端末1でDoS/DDoS攻撃を検知することができる場合は、該ユーザ端末1自身でIPアドレスを変更する構成を設けることにより、ユーザ端末1へのDoS/DDoS攻撃による大量パケットの転送を防ぐことができる。
このような不正パケットの検知が可能な端末1が、不正な攻撃を検知した旨を加入者線終端装置2にUPnP等で通知することによって、加入者線終端装置2がこれを受信し、第6の実施形態のように上位通信装置の加入者線終端集合側装置4に対してIPアドレスの再取得を行うことで、配下LAN装置と連携してDOS/DDOS攻撃を防ぐ構成とすることもできる。
以下、本発明の実施例について説明する。なお、以下の実施例は一例であり、本発明の構成は以下の実施例に限定されるものではない。図7に本発明を適用した加入者系システムの構成例を示す。同図に示すように、家庭内にPCサーバ11やパーソナルコンピュータ12が設置され、それらは、家庭内ゲートウェイとしてのADSLモデム13を介してインターネットに接続される。ADSLモデム13は前述したユーザ側加入者線終端装置に相当する。
ここで家庭内は、有線LAN、無線LAN、HomePNA(Home Phone line Networking Alliance)などを介して、各端末が加入者線終端装置に接続される。加入者線にはこの実施例ではADSL回線が用いられているが、加入者線はFTTH、VDSL(Very high-bit-rate Digital Subscriber Line)、CATVなどの回線であってもよい。
その場合、ユーザ側加入者線終端装置は、それぞれの回線に対応したブロードハンドルータやCPE(Customer Premises Equipment:宅内装置)、ケーブルモデム等となる。また、例えば、加入者線がADSL回線であっても、ADSLモデムをブリッジとして用い、その配下にブロードハンドルータを接続する構成としてもよい。このときは、ブロードハンドルータが本発明のユーザ側加入者線終端装置となる。
ADSLモデム13の対向装置として、加入者線の上位側にブロードバンドアクセスサーバ(BAS)14が設置され、このブロードバンドアクセスサーバ(BAS)14はIPアドレス配布機能を有する。ブロードバンドアクセスサーバ(BAS)14は本発明の加入者線終端集合側装置に相当し、そのWAN側はインターネットやIP網などである。ADSLモデム13は、ブロードハンドルータ機能やファイアウォール機能を有し、非武装地帯(DMZ)にPCサーバ11が繋がっているものとする。
図8は本発明のユーザ側の加入者線装置のソフトウェア機能ブロックを示す。WAN側から入力されたパケットは、ブロードハンドルータ(BBR)機能部内のPPP、NAT/NAPT、DMZ処理部を通過してファイアウォール機能部の処理に移る。ここでフィルタリングやSPI(Stateful Packet Inspection)、不正アクセス検知が行われ、もしも不正アクセスが検知された場合は、フィルタリング通知機能によって上位装置への転送拒否要求の通知や、装置内部での通知処理によるリンク切断を行う。
ファイアウォール機能の次段で、ルーティングやQoS等のレイヤ3処理が行われ、更にその次にLAN側へ送信する前にレイヤ2の処理が行われる。また、第6の実施形態のように、IPアドレスの再取得による攻撃防護に関しては、特別なフィルタリング通知機能を備えなくても、既存のIPv4ではPPPoE(PPP over Ethernet)やDHCP(Dynamic Host Configuration Protocol)、IPv6ではDHCPv6やルーターアドバタイズメント(RA)などの機能によって、IPアドレスの再取得を実現することができる。また、第2の実施形態などのように、宅内通信装置とのやりとりに、ADSLモデム13に既に備えられているUPnPの技術を使用することができる。
ここで図7のネットワーク構成例において、図9に示すように、外部WANからDoS/DDoS攻撃により、非武地帯(DMZ)のPCサーバ11宛に大量のパケットが送信されたとすると、ADSLモデム13は、外部WANからの一方的なパケットであるため不正パケットと判定し、該パケットをフィルタリングして廃棄することで、ADSLモデム13配下のPCサーバ11への大量のパケットの転送を防ぐ。
しかし、余りに大量のパケットが送られると、ADSLモデム13ではその廃棄処理がCPUにとって大きな負荷となる。そこで、この負荷がADSLモデム13のCPUの処理能力を圧迫するような閾値を超えたときに、ブロードバンドアクセスサーバ(BAS)14に対して、IPアドレスの再取得を行う。こうすることによって、大量のパケットが転送された場合でもシステムダウン(機能麻痺)することなく、DoS/DDoS攻撃を防ぐことができる。
但し、このとき、同時にSIP(Session Initiation Protocol)のREGISTER(サーバ側への登録情報)やDDNS(Dynamic Domain Name System)により、IPアドレス変更に伴うSIP登録やDNS登録を再登録も行わなければならない。つまり、IPアドレスの取得に関しては初期化される。
1 ユーザ端末
2 ユーザ側の加入者線終端装置
3 加入者線
4 加入者線終端集合側装置
11 PCサーバ
12 パーソナルコンピュータ
13 ADSLモデム
14 ブロードバンドアクセスサーバ(BAS)
2 ユーザ側の加入者線終端装置
3 加入者線
4 加入者線終端集合側装置
11 PCサーバ
12 パーソナルコンピュータ
13 ADSLモデム
14 ブロードバンドアクセスサーバ(BAS)
Claims (3)
- ユーザ宅内側に設置された加入者線終端装置において、
通過するパケットを分析し、DoS又はDDoS攻撃によるパケットをIDS機能により検出するDoS/DDoS攻撃検知手段と、
前記加入者線終端装置内の中央処理ユニットの処理負荷が、予め定めた閾値を超えたときに、上位通信装置に対してIPアドレスの再取得を行う手段と、
を備えたことを特徴とする加入者線終端装置。 - 配下のLAN内装置で大量のパケットによるDoS又はDDoS攻撃を検知した旨の通知を受けたときに、上位通信装置に対して、IPアドレスの再取得を行う手段を備えたことを特徴とする請求項1に記載の加入者線終端装置。
- ユーザ宅内のユーザ端末において、
通過するパケットを分析し、DoS又はDDoS攻撃によるパケットをIDS機能により検出するDoS/DDoS攻撃検知手段と、
前記ユーザ端末内の中央処理ユニットの処理負荷が、予め定めた閾値を超えたときに、該ユーザ端末自身のIPアドレスを変更する手段と、
を備えたことを特徴とするユーザ端末。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009098629A JP2009219128A (ja) | 2009-04-15 | 2009-04-15 | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009098629A JP2009219128A (ja) | 2009-04-15 | 2009-04-15 | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005070347A Division JP2006254269A (ja) | 2005-03-14 | 2005-03-14 | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009219128A true JP2009219128A (ja) | 2009-09-24 |
Family
ID=41190485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009098629A Pending JP2009219128A (ja) | 2009-04-15 | 2009-04-15 | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009219128A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011041960A1 (zh) * | 2009-10-10 | 2011-04-14 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法及装置 |
JP2012114917A (ja) * | 2010-11-25 | 2012-06-14 | Nhn Business Platform Corp | コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法、システム及びコンピュータ読み取り可能な記録媒体 |
JP2013201747A (ja) * | 2012-02-20 | 2013-10-03 | Alaxala Networks Corp | ネットワークシステム、ネットワーク中継方法及び装置 |
JP2014504111A (ja) * | 2010-12-29 | 2014-02-13 | アマゾン テクノロジーズ インコーポレイテッド | ソース付近のサービス妨害拒否から保護するための技術 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003298763A (ja) * | 2002-03-29 | 2003-10-17 | Kyocera Corp | 無線通信機 |
JP2004215112A (ja) * | 2003-01-07 | 2004-07-29 | Nec Access Technica Ltd | ネットワーク接続装置及び不正アクセス防止方法 |
-
2009
- 2009-04-15 JP JP2009098629A patent/JP2009219128A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003298763A (ja) * | 2002-03-29 | 2003-10-17 | Kyocera Corp | 無線通信機 |
JP2004215112A (ja) * | 2003-01-07 | 2004-07-29 | Nec Access Technica Ltd | ネットワーク接続装置及び不正アクセス防止方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011041960A1 (zh) * | 2009-10-10 | 2011-04-14 | 中兴通讯股份有限公司 | 一种防止拒绝服务攻击的方法及装置 |
JP2012114917A (ja) * | 2010-11-25 | 2012-06-14 | Nhn Business Platform Corp | コンテンツフィルタリングシステム及びパケットレベル遮断システムを利用したDoS攻撃遮断方法、システム及びコンピュータ読み取り可能な記録媒体 |
JP2014504111A (ja) * | 2010-12-29 | 2014-02-13 | アマゾン テクノロジーズ インコーポレイテッド | ソース付近のサービス妨害拒否から保護するための技術 |
US8966622B2 (en) | 2010-12-29 | 2015-02-24 | Amazon Technologies, Inc. | Techniques for protecting against denial of service attacks near the source |
JP2013201747A (ja) * | 2012-02-20 | 2013-10-03 | Alaxala Networks Corp | ネットワークシステム、ネットワーク中継方法及び装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7411975B1 (en) | Multimedia over internet protocol border controller for network-based virtual private networks | |
US7930740B2 (en) | System and method for detection and mitigation of distributed denial of service attacks | |
Kumar | Smurf-based distributed denial of service (ddos) attack amplification in internet | |
US7246376B2 (en) | Method and apparatus for security management in a networked environment | |
Ferguson et al. | Network ingress filtering: Defeating denial of service attacks which employ IP source address spoofing | |
US8897255B2 (en) | Dynamic VLANs in wireless networks | |
JP4960437B2 (ja) | データ通信ネットワークに関する論理グループエンドポイントディスカバリ | |
CA2511997A1 (en) | Mitigating denial of service attacks | |
EP2309685B1 (en) | A method and apparatus for realizing forwarding the reversal transmission path of the unique address | |
US8854974B2 (en) | Methods, systems, and computer readable media for deep packet inspection (DPI)-enabled traffic management for xDSL networks | |
WO2008090531A2 (en) | A containment mechanism for potentially contaminated end systems | |
EP1843624B1 (en) | Method for protecting digital subscriber line access multiplexer, DSLAM and XDSL single service board | |
JP2006254269A (ja) | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 | |
JP2009219128A (ja) | Dos/DDos攻撃を防ぐ加入者線終端装置及びユーザ端末 | |
JP2011151514A (ja) | トラフィック量監視システム | |
KR20110026926A (ko) | 분산서비스거부 공격의 차단 방법 | |
WO2002037755A2 (en) | Detecting and preventing undesirable network traffic from being sourced out of a network domain | |
US20070140121A1 (en) | Method of preventing denial of service attacks in a network | |
US7424023B2 (en) | Method and access multiplexer for quick access to data networks | |
JP2008042735A (ja) | Macアドレス学習機能の管理方法及びネットワーク機器 | |
Majidha Fathima | A survey of the exemplary practices in network operations and management | |
JP2006135776A (ja) | セッション中継装置およびセッション中継方法 | |
US10050937B1 (en) | Reducing impact of network attacks in access networks | |
Cisco | Configuring Context-Based Access Control | |
JP4152356B2 (ja) | アプリケーション型サービス拒絶防御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110112 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110118 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110712 |